Vous êtes sur la page 1sur 39

WINDOWS SERVER 2012

Service Active Directory


Introduction
 L’objectif principal d’un réseau d’entreprise est de partager des
ressources : imprimantes, fichiers, …

 Pour organiser les ordinateurs dans un réseau les administrateurs


peuvent utiliser deux méthodes :

- Groupe de travail;

- Domaine.

 la principale différence entre les deux méthode est la manière


dont les ordinateurs et les autres ressources du réseau sont
gérés.

2 OUZAOUIT
Introduction
 Dans un groupe de travail :

– Tous les ordinateurs sont identiques, aucun ordinateur ne contrôle les autres.

– Chaque ordinateur partage ces propres ressources

– Chaque ordinateur possède ces propres comptes d’utilisateurs stockés sur la base
de données SAM

Pour ouvrir une session sur l’un des ordinateurs et accéder à ces ressources, Vous
devez disposer d’un compte sur cet ordinateur.

Administration et sécurité décentralisées

3 OUZAOUIT
Introduction
 Dans un domaine :
– Un ou plusieurs ordinateurs contrôlent les autres. on les appelle des contrôleurs
de domaines (DC). ils permettant de localiser et gérer l’accès aux ressources
du domaine.

– Chaque ordinateur possède ces propres comptes utilisateurs (dans la base de


données SAM), Permettant d’ouvrir une session sur l’ordinateurs en local et

accéder à ces ressources.

– Il y a aussi des comptes de domaine

stockés sur le contrôleur de domaine

permettant d’accéder à toutes les machines et

ressources du domaine.

– Administration et sécurité centralisées

4 OUZAOUIT
Introduction
Groupe de travail Domaine
Il n’y a en général pas plus de vingt Un domaine peut être constitué de
ordinateurs sur ce type des milliers d’ordinateurs.
réseaux.

Un groupe de travail n’est pas protégé Un domaine est protégé par un


par un mot de passe mot de passe

 tout utilisateur peut joindre sa  Pour joindre une machine au


machine au groupe. domaine vous devez fournir
un mot de passe

Tous les ordinateurs doivent se Les ordinateurs peuvent se trouver


trouver sur le même réseau local ou sur des réseaux locaux différents.
le même sous-réseau
5 OUZAOUIT
1. Vue d’ensemble de l’Active Directory

 Vue d'ensemble d'AD DS


 Que sont les domaines AD DS ?
 Que sont les unités d'organisation ?
 Qu'est-ce qu'une forêt AD DS ?
 Qu'est-ce que le schéma AD DS ?
 Les partitions AD
 Processus de connexion AD DS

6 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Active Directory est le service d’annuaire (bibliothèque) de la famille Windows.
– Le rôle de l'annuaire Active Directory est de stocker d’une manière
centralisé les information relatives aux objets d’un réseau et d’ y facilité
l’accès, la recherche et la modification.

– Les objets peuvent être les comptes utilisateurs, les groupes, les ordinateurs,
les imprimantes, les dossiers, applications …

– Il existe 5 rôles Active Directory qui sont :

• AD Domain Services (AD DS): Annuaire

• AD Certificate Services (AD CS): gestion de certificats numériques

• AD Federation Services (AD FS): Ressources partagées

• AD Right Management Services (AD RMS): Sécurisation des données

• AD Lightweight Directory Services (AD LDS): version allégée d’Active Directory.

7 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
AD DS se compose à la fois de composants physiques et logiques

Composants physiques Composants logiques


• Base de données AD DS • Partitions

• Contrôleurs de domaine • Schéma

• Serveur de catalogue • Domaines


global
• Arborescences de domaines
• Contrôleur de domaine
en lecture seule RODC • Forêts

• Sites

• Unités d'organisation

8 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Composants physiques
 Base de données: Stocke les informations AD DS. Il s'agit d'un fichier
NTDS.DIT qui se trouve sur chaque contrôleur de domaine.
 Contrôleur de domaine: serveur active directory qui gère le
domaine et qui contient la base de données AD. Il authentifie les
utilisateurs par protocole Kerberos pour accéder au domaine.
 Serveur Catalogue global: contrôleur de domaine qui stocke une
copie complète de tous les informations sur son domaine et une
partie des informations des autres domaines de la foret.
 Contrôleur en lecture seule RODC: sont des contrôleurs de
domaine qui possèdent une copie en lecture de la base de données
de l'annuaire. est souvent utilisée dans les filiales où la sécurité et
l'assistance informatique sont souvent moins avancées que dans les
centres d'affaires principaux.
9 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Composants logiques
 Domaine AD: est un ensemble
d’objets ( machines, d’utilisateurs,
groupes, imprimantes, …) partageant la
même base de données active
directory et regroupées sous un
même nom.
 Arborescence de domaine: est constitué
de plusieurs domaines, un espace de
noms contigu.
 foret: est constituée d'un arbre ou de
plusieurs arbres qui ne forment pas
un espace de nom contigu.
10 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
 Unité d’organisation OU: est un type
d’objet conteneur qui permet
d’organiser logiquement les objets
dans un domaine.
 Un site: est une combinaison d’un ou
plusieurs sous réseaux connectés
entre eux par une liaison à haut
débit fiable (liaison LAN).
 Un Schéma: Définit la liste des
attributs (informations sur l’objet
comme nom, prénom…) que tous les
objets peuvent avoir dans AD DS.

11 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Active Directory stocke sa base de donnée dans un fichier
unique NTDS.DIT. Cette base de données est divisée
logiquement en cinq partitions (Naming Context):
 la partition de schéma,
 la partition de configuration,
 la partition de domaine.
 La partition application
 La partition catalogue global (PAS)
12 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
 La partition de configuration
contient la topologie de la forêt, c'est-à-dire les informations concernant les
domaines, les sites, les connexions entre les contrôleurs, etc... Concrètement, il
existe qu'une seule partition de configuration par forêt. Lors d'une modification, cette
partition sera dupliquée sur tous les contrôleurs de domaine de tous les domaines de la
forêt.

 La partition de schéma
contient le schéma étendu au niveau de la forêt, c'est-à-dire l'ensemble des définitions des
classes (utilisateur, ordinateur, groupe…) et attributs (nom, emplacement,
SID…) des objets pouvant être créer dans l'annuaire Active Directory. Pour assurer la
cohérence de la définition de chaque classe d'objet, il n'existera qu'un seul schéma par
forêt. La partition de schéma est aussi répliquée sur l'ensemble des contrôleurs de
domaine de tous les domaines de la forêt.
13 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
 La partition de domaine

contient les informations concernant tous les objets d'un domaine. Elle est spécifique à un
domaine, donc, les informations qu'elle contient seront répliquer sur l'ensemble des
contrôleurs de domaine appartenant au même domaine. Par conséquent, dans une forêt
composée de plusieurs domaines, il existera plusieurs partitions de domaine (une par domaine).

 La partition application

la partition application, stocke les données sur les applications utilisées dans Active
Directory, comme par exemple, les zones intégrées à Active Directory d'un serveur DNS.
Cette partition est répliquée sur des contrôleurs de domaine que vous définissez.

 La partition Catalogue global

Cette partition est également appelé Partial Attribute Set (PAS) dans certains documents.
Elle contient une copie partiel de tous les objets du domaine. Il est répliqué sur tous les
catalogues globaux dans la forêt.

14 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Schéma

Configuration

Domaine A

Schéma Domaine A
Configuration Contrôleur domaine
Schéma
Domaine A
Configuration
Domaine B
Domaine B Domaine B

Catalogue global
Schéma

Configuration
Contrôleur
Domaine B
domaine

Contrôleur domaine
15 OUZAOUIT
1. Vue d’ensemble de l’Active Directory
Processus de connexion AD DS

1. Le compte d'utilisateur est


authentifié auprès de DC1 pour
joindre le domaine
DC1
2. DC1 retourne un ticket TGT
(Ticket Granting Ticket) au client
3. Le client utilise le ticket TGT
pour solliciter l'accès à WKS1
4. DC1 accorde l'accès à WKS1
5. Le client utilise le ticket TGT
WKS1 SVR1
pour solliciter l'accès à SVR1
6. DC1 retourne l'accès à SVR1
16 OUZAOUIT
2. Les maitres d’opérations AD
 Les Maîtres d’opérations ou FSMO (Flexible Single Master Operation)
désignent certains types de contrôleur de domaine qui ont des
rôles spécifiques.

 Certains rôles sont uniques pour tous les domaines de la forêt ;


d’autres rôles sont plus simplement uniques à l’intérieur d’un domaine.

 Voici les 5 rôles que nous allons étudier :

• Forêt • Domaine
• Maître d'attribution • RID master
de noms de domaine
• Maître d'infrastructure
• Contrôleur de schéma
• Maître d'émulateur de contrôleur
de domaine principal PDC
17 OUZAOUIT
2. Les maitres d’opérations AD
Maitre d’attribution de
Maitre de schéma nom de domaine
– Il est le seul à avoir un accès – Appelé aussi maître de
en écriture sur le schéma nommage
Active Directory pour – Ce rôle permet principalement
l’ensemble de la forêt. de gérer l’ajout et la
– Une fois les modifications suppression d’un domaine
effectuées, il les réplique sur dans une forêt.
l’ensemble de la forêt. – Il ne peut exister qu'un seul
– Il ne peut exister qu'un seul maître de nommage sur
contrôleur de schéma sur l'ensemble de la forêt.
l'ensemble de la forêt.

18 OUZAOUIT
2. Les maitres d’opérations AD
Maitre des ID relatifs Maitre Emulateur PDC
 Lorsqu’un contrôleur de domaine crée
un objet Active Directory (Utilisateur,
 Il est unique au sein d’un
Groupe de sécurité, Ordinateur...), il domaine.
assigne à cet objet un identifiant unique
de sécurité (SID). Ce dernier est
 Il permet de Synchroniser
constitué de l’identifiant de sécurité les horloges sur tous les
du domaine (Domain SID) et d’un contrôleurs de domaine
RID (Relative Identifier). Afin
d’assurer l’unicité du SID pour un objet
(heure et date), Gérer le
du domaine, le maître RID alloue verrouillage des comptes,
régulièrement des plages de RID à Changer les mots de passe
chaque contrôleur qui en fait la
demande.
et Assurer la compatibilité
avec les contrôleurs de
domaine Windows NT.

19 OUZAOUIT
2. Les maitres d’opérations AD
 Maitre Infrastructure
 Unique au sein d’un domaine, Il a pour objectif de gérer les
références ( objets fantômes) entre plusieurs objets.
 Imaginons qu’un utilisateur d’un domaine A soit ajouté au sein
d’un groupe du domaine B. Le contrôleur de domaine « Maître
d’infrastructure » deviendra responsable de cette référence et
devra s’assurer de la réplication de cette information sur tous
les contrôleurs de domaine du domaine, alors un objet
fantôme sera créé sur le domaine B afin de faire référence à
l’utilisateur du domaine A.
 De ce fait, si l’objet est modifié ou supprimé à l’avenir, le
Maître d’infrastructure devra se charger de déclencher la mise
à jour de l’objet fantôme auprès des autres contrôleurs de
domaine.

20 OUZAOUIT
2. Les maitres d’opérations AD

21 OUZAOUIT
2. Les maitres d’opérations AD
Attribution initiale des maîtres d'opérations

– le premier contrôleur de domaine de la forêt se voit attribuer les


cinq rôles en plus d’être promu catalogue global.

– Pour chaque nouveau domaine supplémentaire au sein de cette


forêt, le premier contrôleur se verra attribuer quant à lui les 3 rôles
de niveau domaine.

– Le nombre des maîtres d’opérations dans votre infrastructure est


calculable à l’aide de la formule 2 + (n x 3) où n est le nombre de
domaines dans votre forêt.

22 OUZAOUIT
2. Les maitres d’opérations AD
Localisation des maîtres d'opérations

- Ou bien on utilise la ligne de commande: NETDOM, DCDIAG ou NTDSUTIL.

- NETDOM est l'outil fournissant le résultat le plus clair. Il suffit de saisir


netdom query /domain:[MONDOMAINE] fsmo

23 OUZAOUIT
3.Installation d’un contrôleur de domaine
 Installation d'un contrôleur de domaine à partir
du Gestionnaire de serveur
 Installation d'un contrôleur de domaine sur une
installation minimale de Windows Server 2012
 Mise à niveau d'un contrôleur de domaine
 Installation d'un contrôleur de domaine en utilisant
l'installation à partir du support

24 OUZAOUIT
3.Installation d’un contrôleur de domaine
Ouvrez le gestionnaire de serveur, puis cliquez sur "Gérer" puis "Ajouter des rôles
et fonctionnalités".

25 OUZAOUIT
3.Installation d’un contrôleur de domaine

26 OUZAOUIT
3.Installation d’un contrôleur de domaine
Il va falloir dans la liste cocher "Services AD DS" et validez aussi quand l'assistant
vous propose d'installer les outils de gestion.

27 OUZAOUIT
3.Installation d’un contrôleur de domaine
Petit descriptif du rôle que l'on souhaite installer.

28 OUZAOUIT
3.Installation d’un contrôleur de domaine
Petit descriptif du rôle que l'on souhaite installer.

29 OUZAOUIT
3.Installation d’un contrôleur de domaine
Pour éviter de devoir redémarrer manuellement à chaque fin d'installation de
service, on coche l'option redémarrage automatique.

30 OUZAOUIT
3.Installation d’un contrôleur de domaine

Phase d'installation surtout ne pas éteindre le serveur.

31 OUZAOUIT
3.Installation d’un contrôleur de domaine
Une fois l'installation terminée, nous allons configurer notre serveur pour qu'il
devienne contrôleur de domaine. Cliquez sur promouvoir ce serveur en
contrôleur de domaine.
Depuis Windows Server 2012, la fameuse commande dcpromo qui permette de
promouvoir le serveur n'existe plus.

32 OUZAOUIT
3.Installation d’un contrôleur de domaine
Comme notre domaine n'existe pas, on crée une nouvelle forêt et on spécifie le nom
du domaine qu’on souhaite créé.

33 OUZAOUIT
3.Installation d’un contrôleur de domaine
Puis vous définissez le niveau fonctionnel de la forêt et du domaine et définissez le
mot de passe de restauration.
Ils déterminent les
fonctionnalités de domaine
ou forêt disponibles sur
ADDS. Elles déterminent
également les systèmes
d’exploitation Windows que
vous pouvez exécuter sur les
contrôleurs de domaine dans
le domaine ou la forêt.
Vous ne pouvez pas définir le
niveau fonctionnel du
domaine à une valeur
inférieure au niveau
fonctionnel de forêt.

34 OUZAOUIT
3.Installation d’un contrôleur de domaine
Si vous créez votre premier domaine dans une infrastructure n’ayant pas de DNS, le
message d’erreur suivant est normal : la zone de nom de votre domaine sera créée
automatiquement par la suite.

35 OUZAOUIT
3.Installation d’un contrôleur de domaine
Le nom NETBIOS de votre domaine est ensuite déterminé, vous pouvez
éventuellement le changer :

36 OUZAOUIT
3.Installation d’un contrôleur de domaine
Vous devez ensuite préciser les chemins de stockage de l’AD

37 OUZAOUIT
3.Installation d’un contrôleur de domaine
Un dernier écran résume votre paramétrage :

38 OUZAOUIT
3.Installation d’un contrôleur de domaine
Après configuration le serveur redémarre automatiquement (cela peut être long car
de nombreux services sont configurés).
L’ouverture de session s’effectue avec le compte administrateur du domaine.
Votre domaine est créé.

39 OUZAOUIT

Vous aimerez peut-être aussi